AWS KMS keys 모니터링

모니터링은 AWS KMS에서 AWS KMS keys의 가용성, 상태, 사용량을 이해하고 AWS 솔루션의 안정성, 가용성 및 성능을 유지하는 데 있어서 중요한 부분입니다. AWS 솔루션의 모든 부분으로부터 모니터링 데이터를 수집하면 다중 지점 실패가 발생할 경우 디버깅하는 데 도움을 줍니다. 하지만 KMS 키 모니터링을 시작하기 전에 다음 질문에 대한 답변을 포함하는 모니터링 계획을 작성하십시오.

• 모니터링의 목표

• 모니터링할 리소스

• 이러한 리소스를 모니터링하는 빈도

• 사용할 모니터링 도구

• 모니터링 작업을 수행할 사람

• 문제 발생 시 알려야 할 대상

다음 단계는 시간 경과에 따라 KMS 키를 모니터링하여 현재 환경에서 통상적인 AWS KMS 사용량과 기대치의 기준선을 설정하는 것입니다. KMS 키를 모니터링하면서 모니터링 데이터 기록을 저장합니다. 그러면 현재 데이터를 이 과거 데이터와 비교하여 일반적인 패턴과 이상을 식별하고 이를 해결할 방법을 모색할 수 있습니다.

예를 들어 KMS 키에 영향을 주는 AWS KMS API 활동과 이벤트를 모니터링할 수 있습니다. 데이터가 정해진 기준을 초과하거나 미달하는 경우, 조사를 실시하거나 시정 조치를 취해야 할 수 있습니다.

정상 패턴의 기준선을 설정하려면 다음 항목을 모니터링합니다.

• 데이터 영역 작업에 대한 AWS KMS API 활동. 이는 KMS 키를 사용하는 암호화 작업 (예: 복호화, 암호화 및) 입니다. ReEncryptGenerateDataKey

• 사용자에게 중요한 제어 영역 작업을 위한 AWS KMS API 활동. 이러한 작업은 KMS 키를 관리하므로 KMS 키의 가용성 (예:,,, 및) 을 변경하거나 KMS 키의 액세스 제어 (예: 및 DeleteImportedKeyMaterial) 를 변경하는 작업을 모니터링해야 할 수 있습니다. ScheduleKeyDeletionCancelKeyDeletionDisableKeyEnableKeyImportKeyMaterialPutKeyPolicyRevokeGrant

• 기타 AWS KMS 지표(가져온 키 구성 요소가 만료될 때까지 남은 시간 등)와 이벤트(가져온 키 구성 요소의 만료 또는 KMS 키의 키 교체 또는 삭제).

모니터링 도구

AWS는 KMS 키를 모니터링하는 데 사용할 수 있는 다양한 도구를 제공합니다. 이들 도구 중에는 모니터링을 자동으로 수행하도록 구성할 수 있는 도구도 있지만, 수동 작업이 필요한 도구도 있습니다. 모니터링 작업은 최대한 자동화하는 것이 좋습니다.

자동 모니터링 도구

다음과 같은 자동 모니터링 도구를 사용하여 KMS 키를 관찰하고 변경 사항 발생 시 보고할 수 있습니다.

• AWS CloudTrail로그 모니터링 — 계정 간에 로그 파일을 공유하고, CloudTrail 로그 파일을 CloudWatch Logs로 전송하여 실시간으로 모니터링하고, 처리 라이브러리로 로그 CloudTrail 처리 애플리케이션을 작성하고, 전달 후 로그 파일이 변경되지 않았는지 확인합니다. CloudTrail 자세한 내용은 AWS CloudTrail사용 설명서의 CloudTrail 로그 파일 작업을 참조하십시오.

• Amazon CloudWatch Alarms — 지정한 기간 동안 단일 지표를 관찰하고 일정 기간 동안 지정된 임계값을 기준으로 지표의 값을 기준으로 하나 이상의 작업을 수행합니다. 작업은 아마존 심플 알림 서비스 (Amazon SNS) 주제 또는 Amazon EC2 Auto Scaling 정책으로 전송되는 알림입니다. CloudWatch 경보가 특정 상태에 있다는 이유만으로 경보가 작업을 호출하는 것은 아닙니다. 상태가 변경되고 지정된 기간 동안 유지되어야 합니다. 자세한 설명은 아마존을 통한 모니터링 CloudWatch 섹션을 참조하세요.

• Amazon EventBridge — 이벤트를 매칭하고 하나 이상의 대상 함수 또는 스트림으로 라우팅하여 상태 정보를 캡처하고 필요한 경우 변경하거나 수정 조치를 취합니다. 자세한 내용은 Amazon EventBridge 사용 설명서를 참조하십시오아마존을 통한 모니터링 EventBridge.

• Amazon CloudWatch Logs — AWS CloudTrail 또는 다른 소스에서 로그 파일을 모니터링, 저장 및 액세스합니다. 자세한 내용은 Amazon CloudWatch Logs 사용 설명서를 참조하십시오.

수동 모니터링 도구

KMS 키 모니터링의 또 다른 중요한 부분은 CloudWatch 경보 및 이벤트가 다루지 않는 항목을 수동으로 모니터링하는 것입니다. AWS KMS, CloudWatchAWS Trusted Advisor, 및 기타 AWS 대시보드를 통해 환경 상태를 at-a-glance 볼 수 있습니다. AWS

AWS KMS 콘솔의 AWS 관리형 키 및 고객 관리형 키 페이지를 사용자 지정하여 각 KMS 키에 대한 다음 정보를 표시할 수 있습니다.

• 키 ID

• 상태 표시기

• 생성 날짜

• 만료 날짜(가져온 키 구성 요소가 있는 KMS 키의 경우)​

• 출처(Origin)

• 사용자 지정 키 스토어 ID(사용자 지정 키 스토어에 있는 KMS 키의 경우)

CloudWatch 콘솔 대시보드는 다음 정보를 보여줍니다.

• 현재 경보 및 상태

• 경보 및 리소스 그래프

• 서비스 상태

또한 를 CloudWatch 사용하여 다음을 수행할 수 있습니다.

• 맞춤 대시보드를 생성하여 관심 있는 서비스 모니터링

• 지표 데이터를 그래프로 작성하여 문제를 해결하고 추세 파악

• 모든 AWS 리소스 지표 검색 및 찾아보기

• 문제에 대해 알려주는 경보 생성 및 편집

AWS Trusted Advisor 사용을 통해 AWS 리소스를 모니터링함으로써 성능, 안정성, 보안 및 경제성을 향상할 수 있습니다. 모든 사용자에 대해 4가지 Trusted Advisor 검사를 수행할 수 있고, 비즈니스 또는 엔터프라이즈 지원 플랜에 따라 사용자에 대해 50개 이상의 검사를 수행할 수 있습니다. 자세한 정보는 AWS Trusted Advisor을 참조하세요.